TTESays

[제조 랜섬웨어 대응의 새로운 기준 1부] 랜섬웨어 대응은 백업이 아니라 재가동의 문제다

Donghwi Shin, Jin Kwak

Published: 08:30, 04 Jun 2026 (Updated: 02:39, 07 Jun 2026)

💡

Editor Pick
- 제조 랜섬웨어 대응의 핵심은 백업이 아니라 안전한 재가동
- NIST SP 1800-41은 제조 복구를 공정 무결성 검증 문제로 인식
- 공장은 다시 움직여도 되는지 먼저 증명해야 함

랜섬웨어 대응을 논할 때, 가장 먼저 떠오르는 단어는 백업이다. 랜섬웨어에 의해 파일이 암호화되면 백업에서 데이터를 복원하고, 감염된 서버를 재설치하며, 계정을 초기화하는 방식이 일반적인 대응 절차로 받아들여져 왔다. 기업 입장에서도 백업은 가장 현실적인 방어선이다. 공격을 완전히 막지 못하더라도 데이터를 되찾을 수 있다면 업무를 다시 시작할 수 있다는 믿음이 있기 때문이다.

그러나 제조 현장에서 이 믿음은 충분하지 않다. 제조업의 시스템은 데이터를 저장하고 처리하는 공간에 머물지 않는다. 그 시스템은 실제 설비를 움직이고, 원료를 투입하며, 온도와 압력과 속도를 조절하고, 품질 기준에 맞는 제품을 생산한다. 따라서 제조 현장에서 랜섬웨어가 발생했다는 말은 단순히 문서나 서버가 잠겼다는 의미가 아니다. 생산 라인이 멈추고, 설비 상태를 보여주는 HMI 화면을 신뢰하기 어려워지며, 공정을 제어하는 PLC 로직이 정상인지 확인해야 하는 상황이 발생했다는 뜻이다.

❗

HMI는 Human-Machine Interface를 뜻한다. 작업자가 공장의 설비 상태를 확인하고 제어하기 위해 사용하는 화면으로, 온도·압력·속도·알람·밸브 상태 등이 표시된다. 제조 랜섬웨어 사고에서는 HMI 화면이 정상처럼 보여도 실제 설비 상태가 다를 수 있다. 따라서 복구 단계에서는 HMI가 표시하는 값과 실제 PLC·설비 상태가 일치하는지 반드시 확인해야 한다.

이 지점에서 제조 랜섬웨어 대응은 일반 IT 대응과 분리된다. 사무망에서는 감염된 PC를 초기화하고 데이터를 복구하면 업무가 재개될 수 있다. 하지만 공장에서는 PLC가 어떤 로직을 실행하고 있는지, HMI가 실제 설비 상태를 정확히 반영하는지, 엔지니어링 워크스테이션이 공격자에게 장악되지 않았는지, 네트워크에서 분리한 설비가 인접 공정에 위험한 영향을 주지 않는지까지 확인해야 한다. 복구의 대상이 파일이 아니라 공정이기 때문이다.

NIST가 공개한 SP 1800-41 초안은 바로 이 문제를 다룬다. 이 문서가 중요한 이유는 제조 현장의 랜섬웨어 대응을 백업 복원 절차로 축소하지 않기 때문이다. NIST의 관점에서 제조 복구는 사고를 조사하고, 로그를 보존하고, 감염된 영역을 격리하고, 운영 무결성을 검증한 뒤, 검증된 순서에 따라 공정을 되살리는 과정이다. 다시 말해 복구는 기술 부서가 서버를 되살리는 일이 아닌, 보안팀과 현장 엔지니어가 함께 공장이 다시 움직여도 되는지 판단하는 절차다.

“Manufacturing organizations should also have a plan to recover and restore operations should a cyber incident impact operations.”

제조 현장에서 격리라는 단어도 조심스럽게 이해해야 한다. 일반 IT 환경에서 격리는 감염된 장비를 네트워크에서 차단하는 조치로 설명된다. 그러나 공장에서는 특정 설비를 갑자기 분리하는 행위가 다른 설비에 영향을 줄 수 있다. 한 워크셀의 통신을 차단했을 때 인접한 설비가 잘못된 신호를 받거나, 공정 흐름이 끊기면서 물리적 위험이 발생할 수도 있다. 제조 보안에서 격리는 단순한 네트워크 차단이 아니라 공정 안정성을 고려한 통제 행위다.

로그 보존 역시 마찬가지다. 사고가 발생하면 많은 조직은 우선 시스템을 정상화하려고 한다. 그러나 너무 빠른 초기화와 재설정은 공격의 흔적을 지울 수 있다. 특히 OT 환경에서는 PLC, HMI, 산업용 스위치, 엔지니어링 소프트웨어, 센서와 액추에이터에서 나오는 정보가 모두 다른 의미를 갖는다. 어느 시점에 어떤 명령이 내려졌는지, 누가 로직을 변경했는지, 어떤 경보가 발생했는지 보존하지 못하면 복구 이후에도 같은 위험이 반복될 수 있다.

가장 중요한 단계는 운영 무결성 검증이다. 공장을 다시 가동하기 전에 PLC의 래더 로직이 신뢰 가능한 기준점과 일치하는지 확인해야 한다. 백업 파일이 있다고 해도 그 백업이 공격 이전부터 오염되어 있었다면 복구는 새로운 감염의 시작이 된다. HMI 화면이 정상으로 보여도 실제 설비 상태와 다를 수 있고, 엔지니어링 워크스테이션에 공격자가 남겨 둔 계정이나 도구가 남아 있을 수도 있다. 따라서 제조 현장의 복구는 “데이터가 돌아왔는가”가 아니라 “신뢰할 수 있는 상태로 돌아왔는가”를 확인하는 과정이어야 한다.

❗

PLC는 공장 설비를 자동으로 제어하는 산업용 장치이고, 래더 로직은 PLC가 설비를 어떤 조건에서 어떻게 움직일지 정의하는 프로그램 방식이다. 예를 들어 “센서가 제품을 감지하면 컨베이어를 멈춘다”, “온도가 기준치를 넘으면 냉각 장치를 켠다”와 같은 규칙이 래더 로직에 담긴다. 랜섬웨어나 OT 침해 사고 이후에는 이 로직이 변조되지 않았는지 확인해야 한다. 로직이 바뀌면 설비가 정상처럼 보여도 실제 동작은 위험하거나 품질에 영향을 줄 수 있기 때문이다.

이러한 변화는 제조업의 보안 책임 구조도 바꾼다. 랜섬웨어 대응은 더 이상 IT 보안팀만의 일이 아니다. 현장 운영자, 공정 엔지니어, 설비 유지보수 담당자, 품질 담당자, 경영진이 함께 판단해야 한다. 보안팀은 침해 흔적을 분석할 수 있지만, 설비를 어떤 순서로 재가동해야 안전한지는 현장 엔지니어의 전문분야이다. 반대로 현장 엔지니어는 설비를 이해하지만, 공격자가 어떤 방식으로 권한을 남기고 로그를 조작했는지는 보안팀의 분석이 필요하다. 결국 랜섬웨어 사고에 대한 책임이 보안팀만의 문제가 아니라는 것이다.

이 기준은 기업의 투자 우선순위도 바꾼다. 백업 저장소를 늘리는 것만으로는 충분하지 않다. 어떤 설비의 기준 구성이 최신인지, 어떤 PLC 프로젝트 파일이 승인된 최종본인지, 어떤 계정이 복구 과정에서 다시 활성화되어야 하는지 미리 정리되어 있어야 한다. 사고가 발생한 뒤 현장에서 이를 확인하려 하면 이미 늦었으며 신뢰할 수 없는 복구를 진행해야 한다. 제조 랜섬웨어 대응은 사고 당일의 임기응변이 아니라, 평상시에 만들어 둔 기준점과 재가동 승인 절차에 의해 결정된다는 것을 이해해야 한다.

결국 NIST SP 1800-41이 보여주는 변화는 분명하다. 제조 랜섬웨어 대응의 중심은 “침입을 막는 것”에서 “침입 이후에도 안전하게 운영을 회복하는 것”으로 확장되고 있다. 예방은 여전히 중요하다. 하지만 예방만으로는 부족하다는 것은 이제 받아들여야 한다. 추가로 제조 현장에서는 이 설비를 다시 움직여도 되는가? 이 로직은 변조되지 않았는가? 이 공정은 안전한 순서로 재가동되고 있는가?와 같은 질문이다.